IBM Lotus 产品 单点登录(SSO) 总结
2011-07-11 20:03
169 查看
作者:soldierxue@163.com
单点登陆(SSO)在企业内部业务系统之间是一个非常常见的需求,本文收录了网上关于这方面的精彩介绍,并加入作者自己的实践经验,期望可以给大家一些帮助:
单点登陆是需要浏览器的 Cookie 支持的:典型的 LTPA Cookie 包含了加密的用户标识,在同一个域 (比如site1.abc.com和site2.abc.com)的情况下,浏览器会自动将 LTPA Cookie 发送到后台服务器;
LTPA Cookie的安全性:Cookie内容是加密的,密钥保存在服务器端,所以保护好密钥文件,就能保证LTPA Cookie的安全性
单目录环境:就是个应用系统,通过同一的目录服务器认证,所以用户的唯一标识是一致的,只要能保证服务器之间可以解析 LTPA Cookie 就能实现SSO
多目录环境:比较复杂,有可能一个用户的标识符,在不同的目录服务其中是不一样的,需要作映射
详细介绍请参考:多目录环境中的单点登录:“别再说登录”第 1 部分 - 理解多目录、多身份环境中的 SSO
主要应用于参与SSO的登录都是WAS或者Domino等IBM的中间件产品。如果两者指向同一个LDAP服务器(或者用户信息完全相同的不同LDAP),只 需要激活该功能,在参与SSO的应用服务器之间交换密钥,浏览器就可以利用保存到本地LTPA令牌在这些服务器之间自动的进行SSO.
[b]CustomLogin:
[/b]
[b] 主要用于各个应用系统用户名和密码一致,但由于应用服务器并非为IBM产品的环境或者为IBM产品但客户自定义了登陆模块的情况。CustomLogin模块可以在用户登陆的时候保存用户身份信息到java对象中,在需要进行后台的登录时,自动将用户名、密码字段送到后台验证.[/b]
[b][b][b]自定义过滤器/TAI:
[/b][/b][/b]
[b][b][b] 定义Portlet与后端应用交互的应用协议,用于判断门户身份及在应用系统中的用户身份的映射关系,需要改造后端应用,在安全定义中注册TAI模块。[/b][/b][/b]
[b][b][/b][/b]
[b][b][b][b][b][b][b]凭证库:
[/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b] 帮助用户在门户服务器(的数据库中加密)保存和管理后台应用凭证,在需要时自动进行后台应用系统验证时主动提供用户身份的机制。在用户首次使用或修改了密码的情况下需要用户在portlet中录入一次正确的密码。.[/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b][b][b][b][b][b][b][b][b]第三方用户认证:
[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b][b][b][b][b][b][b][b][b] Tivoli Access Manager / Tivoli Identity Manager,是独立的Tivoli的安全解决方案,认证代理,统一身份管理系统[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b][b][b][b][b][b][b][b][b] Central Authentication Service(CAS),开放源码解决方案[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
IBM WebSphere Portal 与 Domino 之间的SSO
请参考:1. 多目录环境中的单点登录:“别再说登录”第 2 部分
2. 如何集成 WebSphere Portal 6.1、Lotus Domino 8.5 和 Sametime 8.5
[b][b][b][b][b][b][b][b][b][b][b][b][b][b]各种SSO技术参考[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
CAS实现:使用 CAS 在 Tomcat 中实现单点登录
构建和实现单点登录解决方案(CAS+Active Directory)
TAI实现:基于 SAML 的 WebSphere Application Server 单点登录的场景设计(自定义TAI)
How to Implement Trust Association Interceptor (TAI) Step by Step
SAML介绍:浅析Web单点登录和安全断言标记语言技术
凭证保险库实现:使用凭证保险库为 portlet 提供单点登录
SPNEGO协议实现与Window平台单点登陆:如何在 Lotus Quickr 8.5 上配置与实现新的单点登录机制 -- SPNEGO 单点登录
如果想通过LTPA token实现 WAS与非IBM产品之间的SSO:
1. 在WAS上启用LTPA
2. 确保WAS应用和其它应用处于同一域名中(LTPA cookie 不能跨域,通常SSO环境必须部署到单一DNS域中,即每台服务器都在同一DNS域中)
3. 在非WAS应用中解析LTPA cookie,得到登陆用户的标识符, 如果没有LTPA token,转到登陆页面要求登陆
单点登陆(SSO)在企业内部业务系统之间是一个非常常见的需求,本文收录了网上关于这方面的精彩介绍,并加入作者自己的实践经验,期望可以给大家一些帮助:
理解单点登录:单目录环境vs多目录环境
单点登陆:简单来说,就是对最终用户来讲,他们只需要登陆一次,就可以访问所有的后台系统,比如说,用户登陆到 WebSphere Portal 就可以访问后台的邮件系统、SAP应用等。单点登陆是需要浏览器的 Cookie 支持的:典型的 LTPA Cookie 包含了加密的用户标识,在同一个域 (比如site1.abc.com和site2.abc.com)的情况下,浏览器会自动将 LTPA Cookie 发送到后台服务器;
LTPA Cookie的安全性:Cookie内容是加密的,密钥保存在服务器端,所以保护好密钥文件,就能保证LTPA Cookie的安全性
单目录环境:就是个应用系统,通过同一的目录服务器认证,所以用户的唯一标识是一致的,只要能保证服务器之间可以解析 LTPA Cookie 就能实现SSO
多目录环境:比较复杂,有可能一个用户的标识符,在不同的目录服务其中是不一样的,需要作映射
详细介绍请参考:多目录环境中的单点登录:“别再说登录”第 1 部分 - 理解多目录、多身份环境中的 SSO
IBM WebSphere Portal提供的SSO技术
LTPA Token:主要应用于参与SSO的登录都是WAS或者Domino等IBM的中间件产品。如果两者指向同一个LDAP服务器(或者用户信息完全相同的不同LDAP),只 需要激活该功能,在参与SSO的应用服务器之间交换密钥,浏览器就可以利用保存到本地LTPA令牌在这些服务器之间自动的进行SSO.
[b]CustomLogin:
[/b]
[b] 主要用于各个应用系统用户名和密码一致,但由于应用服务器并非为IBM产品的环境或者为IBM产品但客户自定义了登陆模块的情况。CustomLogin模块可以在用户登陆的时候保存用户身份信息到java对象中,在需要进行后台的登录时,自动将用户名、密码字段送到后台验证.[/b]
[b][b][b]自定义过滤器/TAI:
[/b][/b][/b]
[b][b][b] 定义Portlet与后端应用交互的应用协议,用于判断门户身份及在应用系统中的用户身份的映射关系,需要改造后端应用,在安全定义中注册TAI模块。[/b][/b][/b]
[b][b][/b][/b]
[b][b][b][b][b][b][b]凭证库:
[/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b] 帮助用户在门户服务器(的数据库中加密)保存和管理后台应用凭证,在需要时自动进行后台应用系统验证时主动提供用户身份的机制。在用户首次使用或修改了密码的情况下需要用户在portlet中录入一次正确的密码。.[/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b][b][b][b][b][b][b][b][b]第三方用户认证:
[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b][b][b][b][b][b][b][b][b] Tivoli Access Manager / Tivoli Identity Manager,是独立的Tivoli的安全解决方案,认证代理,统一身份管理系统[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
[b][b][b][b][b][b][b][b][b][b][b][b][b][b][b] Central Authentication Service(CAS),开放源码解决方案[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
IBM WebSphere Portal 与 Domino 之间的SSO
请参考:1. 多目录环境中的单点登录:“别再说登录”第 2 部分
2. 如何集成 WebSphere Portal 6.1、Lotus Domino 8.5 和 Sametime 8.5
[b][b][b][b][b][b][b][b][b][b][b][b][b][b]各种SSO技术参考[/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b][/b]
CAS实现:使用 CAS 在 Tomcat 中实现单点登录
构建和实现单点登录解决方案(CAS+Active Directory)
TAI实现:基于 SAML 的 WebSphere Application Server 单点登录的场景设计(自定义TAI)
How to Implement Trust Association Interceptor (TAI) Step by Step
SAML介绍:浅析Web单点登录和安全断言标记语言技术
凭证保险库实现:使用凭证保险库为 portlet 提供单点登录
SPNEGO协议实现与Window平台单点登陆:如何在 Lotus Quickr 8.5 上配置与实现新的单点登录机制 -- SPNEGO 单点登录
[b]使用LTPA Token实现IBM产品与非IBM产品的SSO方案思路[/b]
图1:LTPA based SSO 原理图:两个WAS服务器之间的SSO(摘自互联网)如果想通过LTPA token实现 WAS与非IBM产品之间的SSO:
1. 在WAS上启用LTPA
2. 确保WAS应用和其它应用处于同一域名中(LTPA cookie 不能跨域,通常SSO环境必须部署到单一DNS域中,即每台服务器都在同一DNS域中)
3. 在非WAS应用中解析LTPA cookie,得到登陆用户的标识符, 如果没有LTPA token,转到登陆页面要求登陆
相关文章推荐
- SSO单点登录学习总结(1)——单点登录(SSO)原理解析
- Atitit. 单点登录sso 的解决方案 总结
- 单点登录 sso 免费产品CAS
- SSO单点登录学习总结(1)——单点登录(SSO)原理解析
- Atitit. 单点登录sso 的解决方案 总结
- IBM / Lotus Domino 与 WebSphere Portal: 单点登录
- 关于 WebSphere Portal, Domino 扩展产品以及Domino 单点登录(SSO)的疑难解答
- 项目技术总结二之SSO单点登录
- SSO单点登录学习总结(2)——基于Cookie+fliter单点登录实例
- 【SSO】--实现单点登录研究过程总结
- SSO单点登录实现原理与总结
- SSO单点登录学习总结(3)—— 基于CAS实现单点登录实例
- 【SSO单点登录实现原理与总结】
- SSO单点登录学习总结(3)—— 基于CAS实现单点登录实例
- 单点登录sso总结
- IBM / Lotus Domino 与 WebSphere Portal: 单点登录(转)
- .NET实现单点登录研究过程总结--【SSO】
- SSO单点登录学习总结(3)—— 基于CAS实现单点登录实例
- IBM / Lotus Domino 与 WebSphere Portal: 单点登录(转)
- #项目总结一#SSO多系统单点登录